Un sondaggio su 500 lavoratori e dirigenti negli Stati Uniti e nel Regno Unito condotto da Osterman Research per la società di sicurezza informatica Cerby, ha rilevato che quasi la metà dei partecipanti (47%) ha dichiarato che accetterebbe una riduzione dello stipendio del 20% in cambio di una maggiore fiducia da parte del proprio datore di lavoro.
Altre caratteristiche che i ricercatori hanno trovato molto apprezzate dai dipendenti includono la flessibilità (48%), l’autonomia (42%) e la possibilità di scegliere le applicazioni di cui hanno bisogno per lavorare in modo efficace (39%).
Lo State of Employee Trust Report di Osterman e Cerby esamina l’impatto dei principi zero-trust che molte aziende stanno rapidamente adottando come soluzione alle loro esigenze di sicurezza informatica derivanti dall’uso di “applicazioni ingestibili” da parte di lavoratori e dirigenti.
“Le candidature sono intimamente legate ai livelli di coinvolgimento e responsabilizzazione dei dipendenti. Se i datori di lavoro tentano di bloccare tali applicazioni, cosa che fanno spesso, ciò ha un impatto negativo sulla fiducia”, ha osservato Matt Chiodi, chief trust officer di Cerby, un fornitore di architettura zero-trust per applicazioni non gestibili con sede a San Francisco.
“Il sessanta percento dei dipendenti ha affermato che se un’applicazione che desiderano viene bloccata, ciò influisce negativamente su come si sentono nei confronti di un’azienda”, ha dichiarato Chiodi.
“La risposta non è che i datori di lavoro blocchino queste applicazioni, ma trovino soluzioni che consentano di gestire le ingestibili”, ha affermato.
Lavoratori sotto controllo
I team di sicurezza disapprovano l’uso di applicazioni ingestibili, note anche come shadow IT, per molte ragioni. “I dipendenti vanno e vengono. Un’organizzazione può finire con migliaia di credenziali inutilizzate che accedono alle sue risorse”, ha spiegato Szilveszter Szebeni, CISO e co-fondatore di Tresorit, un’azienda di soluzioni di sicurezza basata sulla crittografia della posta elettronica a Zurigo.
“Con una montagna di accessi dormienti, gli hacker sono facilitati ad entrare in alcuni account che passerebbero inosservati e aprirebbero la strada per infiltrarsi nell’organizzazione attraverso il movimento laterale”, ha detto Szebeni a TechNewsWorld.
Le applicazioni ingestibili possono mettere in pericolo un’organizzazione perché non hanno alcun controllo sulle pratiche di sicurezza imposte allo sviluppo e alla gestione dei programmi, ha osservato John Yun, vicepresidente della strategia di prodotto presso ColorTokens, un fornitore di soluzioni di sicurezza informatica zero-trust autonome a San Jose, California
“Inoltre, l’organizzazione non ha alcuna supervisione sui requisiti di aggiornamento della sicurezza delle applicazioni”, ha dichiarato Yun.
Senza alcun controllo sull’applicazione, le organizzazioni non possono affidare l’accesso ai loro ambienti, ha affermato Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, un fornitore di SaaS per la correzione del rischio informatico aziendale a Tel Aviv, in Israele.
“Lasciare che i dipendenti scelgano lo strumento migliore per il lavoro, specialmente quando funziona con le proprie apparecchiature, è il benvenuto”, ha detto Parkin.
Tuttavia, ha affermato, “Richiede un compromesso con l’organizzazione che si impegna a controllare le applicazioni scelte e i dipendenti disposti ad astenersi quando la loro app preferita non è nell’elenco approvato”.
Roger Grimes, un evangelista della difesa basato sui dati presso KnowBe4, un fornitore di formazione sulla consapevolezza della sicurezza a Clearwater, in Florida, ha adottato una linea più dura sulla questione.
“Spetta ai gestori del rischio di sicurezza informatica di un’organizzazione determinare se i rischi sostenuti valgono i benefici”, ha dichiarato Grimes. “Non vuoi che l’utente finale medio decida cosa è o non è rischioso per l’organizzazione più di quanto tu voglia che il passeggero medio voli su un aereo”.
Vale il rischio?
Le applicazioni sono considerate ingestibili perché spesso non supportano le misure di sicurezza comuni, come il single sign-on e l’aggiunta o la rimozione automatica degli utenti, ha spiegato Chiodi.
“Ciò rappresenta un rischio per un’azienda, ma gli utenti aziendali hanno ancora bisogno di quelle applicazioni”, ha affermato. “Le aziende devono trovare modi per portare tali applicazioni a un punto in cui possono essere gestite, in modo da ridurre tali rischi”.
Etichettare le applicazioni come ingestibili è fuorviante, ha osservato Marcus Smiley, CEO di Epoch Concepts, un fornitore di soluzioni IT a Littleton, Colorado.
“Sono costruiti senza supporto per i moderni standard di sicurezza del settore, il che li rende più difficili da monitorare e proteggere”, ha detto Smiley, “ma mentre questo significa che non possono essere gestiti come altre applicazioni, possono essere gestiti in modi diversi. ”
“Quando vengono utilizzate applicazioni ingestibili, c’è sempre qualche motivo per cui”, ha affermato. “Molte organizzazioni hanno bisogno di una migliore comunicazione tra l’IT e i dipendenti per chiarire le policy aziendali e le ragioni che le stanno dietro”.
“L’IT dovrebbe anche fornire canali per richiedere applicazioni ed essere proattivo nel fornire alternative più sicure a quelle problematiche”, ha aggiunto.
Smiley ha sostenuto che in alcune situazioni, consentire applicazioni non gestibili con supervisione è appropriato per garantire che vengano implementate le migliori pratiche di gestione delle identità e configurazioni più sicure invece di quelle meno sicure.
“In definitiva, non esiste una strategia di sicurezza informatica priva di rischi”, ha osservato. “Ogni programma di sicurezza, anche quelli con zero trust, include compromessi tra funzionalità aziendale mission-critical, produttività e rischio”.
L’approccio più sicuro consiste nel far esaminare qualsiasi applicazione prima dell’adozione da una persona o un team con esperienza in sicurezza informatica per identificare eventuali problemi che potrebbero derivare dall’uso del software o del servizio.
Garantire che i termini legali siano accettabili, nonché pianificare la manutenzione continua, consigliata Chris Clements, vicepresidente dell’architettura delle soluzioni presso Cerberus Sentinel, una società di consulenza sulla sicurezza informatica e test di penetrazione a Scottsdale, in Arizona.
“Sfortunatamente, molte organizzazioni non hanno le competenze o le risorse per valutare correttamente questi rischi, con il risultato che il processo non si verifica affatto, o altrettanto grave, si trascina per settimane o mesi, il che danneggia il morale e la produttività dei dipendenti”, ha dichiarato Clements.
“Bilanciare il rischio di sicurezza informatica con le esigenze dei dipendenti è una pratica che le organizzazioni devono prendere più seriamente”, ha affermato.
“Consentire un approccio da selvaggio West introdurrà inevitabilmente rischi per la sicurezza informatica. Ma d’altra parte, essere eccessivamente rigorosi può portare a scegliere soluzioni di prodotti o servizi che sono troppo pesantemente compromessi in termini di usabilità e praticità per l’utente o semplicemente negare del tutto l’approvazione.”
“Questi possono causare frustrazione e portare il personale a lasciare l’organizzazione o sovvertire attivamente i controlli di sicurezza”, ha continuato.
Anche l’uso improprio dei principi zero-trust può aumentare tale frustrazione. “Zero trust è per dati, accesso, applicazioni e servizi”, ha affermato Chiodi. “Ma quando si tratta di creare fiducia dal lato umano, le aziende devono puntare a un’elevata fiducia. Le due cose non si escludono a vicenda. È possibile, ma ci vorrà un cambiamento nel modo in cui i datori di lavoro utilizzano i controlli di sicurezza”.
“Offrendo opzioni tecnologiche ai dipendenti, le aziende possono dimostrare di fidarsi dei propri dipendenti per prendere decisioni tecnologiche che li aiutino a svolgere meglio il proprio lavoro”, ha aggiunto Karen Walsh, direttrice di Allegro Solutions, una società di consulenza sulla sicurezza informatica a West Hartford, Connecticut.
“Rafforzando questo con l’educazione intorno alla mentalità dell’assumere un compromesso‘”, ha detto Walsh “costruiscono un rapporto più forte con i membri della loro forza lavoro”.
